2021CISP-PTE(注册渗透测试工程师)考试内容以考试大纲为基础,如有考生想要参加并获得CISP-PTE认证,建议先了解考纲,下文就是小编整理的CISP-PTE知识类:中间件安全(4.1),可供考生参考。
第4章 知识类:中间件安全
中间件安全基础是注册信息安全专业人员需要掌握的通用基础知识。通过本部分的学习,学员应当:
了解中间件的基本概念和加固方法
掌握主流中间件的权限配置,解析漏洞风险
掌握 JAVA 开发的中间件反序列化漏洞风险
4.1 知识体:主流的中间件
图 4-1:知识体:主流的中间件
4.1.1 知识域:Apache
Apache 是世界使用排名第一的 Web 服务器软件,它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的 Web服务器端软件之一。Apache 自身的安全性是很高的,但是人为的错误设置会导致 Apache 产生安全问题。
知识子域:Apache 服务器的安全设置
了解当前 Apache 服务器的运行权限
了解控制配置文件和日志文件的权限,防止未授权访问
了解设置日志记录文件、记录内容、记录格式
了解禁止 Apache 服务器列表显示文件的方法
了解修改 Apache 服务器错误页面重定向的方法
掌握设置 Web 目录的读写权限,脚本执行权限的方法
知识子域:Apache 服务器文件名解析漏洞
了解 Apache 服务器解析漏洞的利用方式
掌握 Apache 服务器文件名解析漏洞的防御措施
知识子域:Apache 服务器日志审计
掌握 Apache 服务器日志审计方法
4.1.2 知识域:IIS
IIS 全称为 Internet Information Service(Internet 信息服务),它的功能是提供信息服务,如架设 http、ftp 服务器等知识子域:IIS 服务器的安全设置
了解身份验证功能,能够对访问用户进行控制
了解利用账号控制 web 目录的访问权限,防止跨目录访问
了解为每个站点设置单独的应用程序池和单独的用户的方法
了解取消上传目录的可执行脚本的权限的方法
启用或禁用日志记录,配置日志的记录选项
知识子域:IIS 服务器的常见漏洞
掌握 IIS6,IIS7 的文件名解析漏洞
掌握 IIS6 写权限的利用
掌握 IIS6 存在的短文件名漏洞
知识子域:IIS 服务器日志审计方法
掌握 IIS 日志的审计方法
4.1.3 知识域:Tomcat
Tomcat 是一个小型的轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试 JSP 程序的首选。
知识子域:Tomcat 服务器的安全设置
了解 Tomcat 服务器启动的权限
了解 Tomcat 服务器后台管理地址和修改管理账号密码的方法
了解隐藏 Tomcat 版本信息的方法
了解如何关闭不必要的接口和功能
了解如何禁止目录列表,防止文件名泄露
掌握 Tomcat 服务器通过后台获取权限的方法
掌握 Tomcat 样例目录 session 操纵漏洞
知识子域:Tomcat 服务器的日志审计方法
了解 Tomcat 的日志种类
掌握 Tomcat 日志的审计方法
更多备考信息尽在希赛网CISP频道-考试辅导栏目,敬请期待……
